Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Ao usar um datacenter definido por software (SDDC) VMware com um ecossistema de nuvem do Azure, você tem um conjunto exclusivo de considerações de design a serem seguidas para cenários nativos da nuvem e híbridos. Este artigo fornece considerações fundamentais e práticas recomendadas para redes e conectividade entre implantações do Azure e do Azure VMware Solution.
O artigo baseia-se em várias zonas de aterrissagem em escala empresarial do Cloud Adoption Framework, princípios de arquitetura e recomendações para gerenciar a topologia de rede e a conectividade em escala. Pode utilizar esta orientação para o design da zona de aterragem do Azure para plataformas da Solução VMware do Azure de missão crítica. As áreas de design incluem:
- Integração híbrida para conectividade entre usuários locais, multicloud, edge e globais. Para obter mais informações, consulte Suporte em escala empresarial para híbrido e multicloud.
- Desempenho e confiabilidade em escala para escalabilidade da carga de trabalho e experiência consistente e de baixa latência. Um artigo subsequente aborda implementações de região dupla.
- Segurança de rede baseada em confiança zero para segurança do perímetro da rede e do fluxo de tráfego. Para obter mais informações, consulte Estratégias de segurança de rede no Azure.
- Extensibilidade para fácil expansão do alcance da rede sem necessidade de reformulação do projeto.
Considerações e recomendações gerais de design
As seções a seguir fornecem considerações gerais de design e recomendações para a topologia e conectividade de rede da Solução VMware do Azure.
Topologia de rede Hub-spoke vs. Virtual WAN
Se você não tiver uma conexão de Rota Expressa do local para o Azure e, em vez disso, estiver usando a VPN S2S, poderá usar a WAN Virtual para transitar a conectividade entre sua VPN local e a Rota Expressa da Solução VMware do Azure. Se você estiver usando uma topologia hub-spoke, precisará do Azure Route Server. Para obter mais informações, consulte Suporte do Azure Route Server para ExpressRoute e Azure VPN.
Nuvens privadas e clusters
Todos os clusters podem se comunicar em uma nuvem privada do Azure VMware Solution porque todos compartilham o mesmo espaço de endereçamento /22.
Todos os clusters compartilham as mesmas configurações de conectividade, incluindo internet, Rota Expressa, HCX, IP público e Alcance Global da Rota Expressa. As cargas de trabalho de aplicativos também podem compartilhar algumas configurações básicas de rede, como segmentos de rede, protocolo de configuração dinâmica de host (DHCP) e configurações de DNS (Sistema de Nomes de Domínio).
Projete nuvens privadas e clusters com antecedência antes da implantação. O número de nuvens privadas de que necessita afeta diretamente os seus requisitos de rede. Cada nuvem privada requer seu próprio espaço de endereçamento /22 para gerenciamento de nuvem privada e segmento de endereço IP para cargas de trabalho de VM. Considere definir esses espaços de endereço com antecedência.
Discuta com suas equipes VMware e de rede como segmentar e distribuir suas nuvens privadas, clusters e segmentos de rede para cargas de trabalho. Planeie bem e evite o desperdício de endereços IP.
Para obter mais informações sobre como gerenciar endereços IP para nuvens privadas, consulte Definir o segmento de endereço IP para gerenciamento de nuvem privada.
Para obter mais informações sobre como gerenciar endereços IP para cargas de trabalho de VM, consulte Definir o segmento de endereço IP para cargas de trabalho de VM.
DNS e DHCP
Para DHCP, utilize o serviço DHCP incorporado no NSX-T Data Center ou utilize um servidor DHCP local numa nuvem privada. Não roteie o tráfego DHCP de difusão pela WAN de volta para redes locais.
Para DNS, dependendo do cenário adotado e de seus requisitos, você tem várias opções:
- Apenas para um ambiente da Solução VMware do Azure, você pode implantar uma nova infraestrutura DNS na nuvem privada da Solução VMware do Azure.
- Para a Solução VMware do Azure conectada a um ambiente local, você pode usar a infraestrutura DNS existente. Se necessário, implante encaminhadores DNS para estender para a Rede Virtual do Azure ou, de preferência, para a Solução VMware do Azure. Para obter mais informações, consulte Adicionar um serviço de encaminhador DNS.
- Para a Solução VMware do Azure conectada a ambientes e serviços locais e do Azure, você pode usar servidores DNS ou encaminhadores DNS existentes em sua rede virtual de hub, se disponível. Você também pode estender a infraestrutura DNS local existente para a rede virtual do hub do Azure. Para obter detalhes, consulte o diagrama de zonas de aterrissagem em escala empresarial.
Para obter mais informações, consulte os seguintes artigos:
- Considerações sobre resolução de DHCP e DNS
- Configurar o DHCP para a solução VMware do Azure
- Configurar DHCP em redes VMware HCX L2 estendidas
- Configurar um encaminhador DNS no portal do Azure
Internet
As opções de saída para habilitar a Internet e filtrar e inspecionar o tráfego incluem:
- Rede Virtual do Azure, NVA e Azure Route Server usando o acesso à Internet do Azure.
- Rota padrão local usando acesso à Internet local.
- Hub seguro de WAN virtual com Firewall do Azure ou NVA, usando o acesso à Internet do Azure.
As opções de entrada para fornecer conteúdo e aplicativos incluem:
- Gateway de Aplicativo do Azure com L7, terminação SSL (Secure Sockets Layer) e Firewall de Aplicativo Web.
- DNAT e balanceador de carga local.
- Rede Virtual do Azure, NVA e Azure Route Server em vários cenários.
- Hub seguro de WAN virtual com Firewall do Azure, com L4 e DNAT.
- Hub seguro de WAN virtual com NVA em vários cenários.
ExpressRoute
A implantação de nuvem privada pré-configurada da Solução VMware do Azure cria automaticamente um circuito ExpressRoute gratuito de 10 Gbps. Este circuito liga a Solução VMware do Azure ao D-MSEE.
Considere implantar a Solução VMware do Azure em regiões emparelhadas do Azure perto de seus datacenters. Consulte este artigo para obter recomendações sobre topologias de rede de região dupla para a Solução VMware do Azure.
Alcance Global
O Global Reach é um complemento ExpressRoute necessário para a Solução VMware do Azure se comunicar com datacenters locais, Rede Virtual do Azure e WAN Virtual. A alternativa é projetar sua conectividade de rede com o Azure Route Server.
Você pode emparelhar o circuito de Rota Expressa da Solução VMware do Azure com outros circuitos de Rota Expressa usando o Global Reach gratuitamente.
Você pode usar o Global Reach para conectar circuitos ExpressRoute por meio de um ISP e para circuitos ExpressRoute Direct.
Global Reach não é suportado para circuitos ExpressRoute Local. Para o ExpressRoute Local, transite da Solução VMware do Azure para datacenters locais por meio de NVAs de terceiros em uma rede virtual do Azure.
O Alcance Global não está disponível em todos os locais.
Bandwidth
Escolha uma SKU de gateway de rede virtual apropriada para largura de banda ideal entre a Solução VMware do Azure e a Rede Virtual do Azure. A Solução Azure VMware suporta um máximo de quatro circuitos ExpressRoute para um gateway ExpressRoute numa região.
Segurança da rede
A segurança da rede envolve inspeção de tráfego e espelhamento de portas.
East-West inspeção de tráfego dentro de um SDDC utiliza o NSX-T Data Center ou NVAs para inspecionar o tráfego entre regiões para a Rede Virtual do Azure.
North-South inspeção de tráfego inspeciona o fluxo de tráfego bidirecional entre a Solução VMware do Azure e os datacenters. A inspeção de tráfego Norte-Sul pode utilizar:
- Um NVA de firewall de terceiros e o Azure Route Server pela Internet do Azure.
- Uma rota padrão local pela Internet local.
- Azure Firewall e WAN Virtual sobre a internet da Azure
- NSX-T Data Center dentro do SDDC através da internet da solução VMware no Azure.
- Um NVA de firewall de terceiros na Solução VMware do Azure dentro do SDDC através da internet do Azure VMware Solution.
Portas e requisitos de protocolo
Configure todas as portas necessárias para um firewall local para garantir o acesso adequado a todos os componentes de nuvem privada da Solução VMware do Azure. Para obter mais informações, consulte Portas de rede necessárias.
Acesso ao gerenciamento da solução VMware do Azure
Considere usar um host do Azure Bastion na Rede Virtual do Azure para acessar o ambiente da Solução VMware do Azure durante a implantação.
Depois de estabelecer o roteamento para seu ambiente local, a rede de gerenciamento de soluções VMware do Azure não honra as
0.0.0.0/0rotas de redes locais, portanto, você precisa anunciar rotas mais específicas para suas redes locais.
Continuidade de negócios, recuperação de desastres (BCDR) e migrações
Nas migrações do VMware HCX, o gateway padrão permanece local. Para obter mais informações, consulte Implantar e configurar o VMware HCX.
As migrações do VMware HCX podem usar a extensão HCX L2. As migrações que exigem a extensão da Camada 2 também exigem o ExpressRoute. A VPN S2S é suportada desde que os requisitos mínimos subjacentes de rede sejam cumpridos. O tamanho máximo da unidade de transmissão (MTU) deve ser 1350 para acomodar a sobrecarga de HCX. Para obter mais informações sobre o design da extensão da Camada 2, consulte Capacidade de ligação da Camada 2 em modo de gestor (VMware.com).
Próximos passos
Para obter mais informações sobre a solução VMware do Azure em redes hub-and-spoke, consulte Integrar a solução VMware do Azure em arquitetura de hub-and-spoke.
Para obter mais informações sobre os segmentos de rede VMware NSX-T Data Center, consulte Configurar componentes de rede do NSX-T Data Center usando o Azure VMware Solution.
Para aprender os princípios de arquitetura de zona de aterrissagem em escala empresarial do Cloud Adoption Framework, várias considerações de design e práticas recomendadas para a Solução VMware do Azure, consulte o próximo artigo desta série: